Ваши комментарии

Ничего сложного.

У нас при блокировке люди попадют в пул должников (серые адреса) 172.16.16.0/21 или любой другой.

Платёжная система - сбербанк мерчант (на робокассе тоже самое делал)


Для этого пула настраиваем нат:

1. Разрешаем DNS запросы

2. Разрешаем ходить к биллингу

3. Разрешаем пулы адресов нужного сервиса (сбербанк нам дал в пдфе их пулы для ПС)

4. Делаем правило редиректа на заглушку 80 порт (хттпс кто как умеет) всего остального


В микровтыке выглядит так:


Для робокассы я брал их пулы (bgp.he.net), пользуясь сниффером проверял правильно ли резолвится, как по анонсам. И по аналогии вычленял пулы яндекса, киви и прочего.


Если не хотите нагружать брас лишними правилами, то можно вынести должников на любой RB который будет работать чисто для должников, в биллинге указываете его как NAS, но я не помню точно, может я и ошибаюсь. Но задумка думаю ясна.


Расположение правил в таком порядке важно, так как отрабатывается цепочка поочерёдно, для каждого запроса и пакета. Если пакет удовлетворяет условия для правила, то он будет отработан нужным правилом.

Затуп преодолён.

Разбавил пул серых адресов внешними, добавив их через админку, теперь раскидывает как и задумывалось.

Сложность вызвала невнимательность, не обратил внимания на значок лупы:

 

Пытался делать то что хотел через "сегменты".

Нашёл запись в таблице sectorspool, там описаны все внешние адреса которые я задал, они должны быть там или в ip_pools_pool ?

Тут для начала крон надо увидеть...

Нас не обязали использовать СОРМ.


Задержка брокера... Я планировал AS к вышестоящему цеплять, благо нашли вариант из Вашего города до нас подключиться. А по поводу неготовности несогласен, отчасти. Трафик побежит как надо, не через европу или азию. У вышестоящего есть v6 сеть на AS уже.


Весь доступ уже поддерживает 6, а абоненты в большинстве уже с новыми роутерами и ip6 поддержкой. Да и про глобальную неготовность тоже отчасти несогласен, так как на данном этапе меня больше всего волнуют популярные медиаресурсы, ютуб, твич, вк и прочие, которые уже имеют Ipv6, а это поможет разгрузить NAT.


Кстате я сидел через брокера в Японии, задержка 30-45 мс, чувствовал себя комфортно.



И кстате в случае досов, брутфорсов и тд, такие сайты как ВК, твиттер и другие подобные сразу банят /64 подсеть, а не каждый адрес, логично же

Запросил 48 подсеть у брокера, завтра потестирую по возможности

да, а как ещё? делить 64 подсеть корректно не получится, если DHCP использовать только.

Получаем 48 подсеть и раздаём 65336 /64 подсетей.



Сервис поддержки клиентов работает на платформе UserEcho